引用:
|
作者cheneyen
所以說資訊本業轉資安不一定會比一些企管管資安吃香?
因為有些東西確實是事實,但是點出來在實際implement上卻有無限多的問題
資安人員無法提出作法,硬要下面的人作,這樣不是很怪?
我對敝公司的資安定規則的手法存在很大的疑問
在訂規則時,真的要每個部門把自己業務內容提供給資安人員,然後再給他們雞蛋裡挑骨頭?
這樣一來,作資安的人等於是公司最危險的人不是?
就我所知,美國所作的audit,好像是稽核者自己拿出checklist來作的吧?
所以我才覺得敝公司資安人員有利用公司資源,累積資安經歷的嫌疑
|
我覺得還是要看人, 有資訊背景或企管背景, 都各自會有不同起跑優勢, 欠缺的部分也是
可以補得起來的, 肯唸書也能學得方法/知識 考過認證, 剩下的就是經驗累積.
我在行政院研考會當 網路安全參考指引 評析委員時,也協助審過一些checklist,
通常可以當作參考guide line, 最貼切自己的還是難免要客製化. 資安人員受限於他們的
code of ethic, 具有責任不濫用不洩漏並保護你的機密資料(咳...有沒有做到是另一回事)
他們只協助管理流程, 但是不具備存取敏感資料的權限, 所以也不會無限上綱 形比東廠.
至於是否有私心,拿公司來練功, 這就看怎麼解讀了, 說不定他們也是幹聲連連 無奈得很.
往好處看, 從嚴管理, 也是一個對公司有幫助的措施, 既是政策就多擔待些, 有需要改進的
可以反應回報, 他們應該懂PPDCA(Policy-Plan-Do-Check-Action)的行動循環,
不然就有勞你再去稍微電一下他們了
